Продолжаю публикацию некоторых моих репортов по багбаунти от мелкомягких, чтобы напомнить как читателям, так и самому себе, что майндсет "Баги есть везде!" - лучшее оружие скрипткиддиса/какера/хантера. Особенно, когда опускаются лапки.
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
https://t.me/ScriptKiddieNotes/197
Кейс №4
Технически, здесь ничего интересного. Был доступен http метод put, ну и дальше понятно. Наглядно - на скринах. Все что относилось к *.sharepoint.com было "core" по их скоупу, но они как-то отмазались, точнее понизили импакт и баунти не выплатили. Хотя багу исправили, да, в лучших традициях, хех.
А хотел я поделиться следующей мыслью.
Любой хантер, который занимается этим делом хотя бы полгода, должен периодически оглядываться назад и вести своего рода учет/статистику по самым частым и наоборот, самым редким типам уязвимостей в его репортах, с целью выявить свои слабые и сильные стороны. Чтобы поработать над слабыми и увеличить свое КПД. Соглы? Академический подход важен, особенно если ты фуллтайм хантер. Так вот, забавный момент, касательно http put метода. За 7-8 лет хантинга, я встречал эту багу буквально два раза. Первый раз в этом самом репорте для MS, второй, буквально пару недель назад на *.avito.ru. Но во втором случае мне хотя бы присудили баунти.
С одной стороны, это не тот тип уязвимостей, который будешь целенаправленно искать руками, и скорее всего следует отдать его на откуп автоматике, авось выстрелит. С другой - "Баги есть везде!" и они на поверхности, нужно лишь быть во всеоружии, чтобы поймать их.
У вас есть какая-то личная статистика по http put багам? Это я такой невезучий, или это и впрямь раритетная бага?
#bb
Предыдущие ->
https://t.me/ScriptKiddieNotes/157
https://t.me/ScriptKiddieNotes/170
https://t.me/ScriptKiddieNotes/197
Кейс №4
Технически, здесь ничего интересного. Был доступен http метод put, ну и дальше понятно. Наглядно - на скринах. Все что относилось к *.sharepoint.com было "core" по их скоупу, но они как-то отмазались, точнее понизили импакт и баунти не выплатили. Хотя багу исправили, да, в лучших традициях, хех.
А хотел я поделиться следующей мыслью.
Любой хантер, который занимается этим делом хотя бы полгода, должен периодически оглядываться назад и вести своего рода учет/статистику по самым частым и наоборот, самым редким типам уязвимостей в его репортах, с целью выявить свои слабые и сильные стороны. Чтобы поработать над слабыми и увеличить свое КПД. Соглы? Академический подход важен, особенно если ты фуллтайм хантер. Так вот, забавный момент, касательно http put метода. За 7-8 лет хантинга, я встречал эту багу буквально два раза. Первый раз в этом самом репорте для MS, второй, буквально пару недель назад на *.avito.ru. Но во втором случае мне хотя бы присудили баунти.
С одной стороны, это не тот тип уязвимостей, который будешь целенаправленно искать руками, и скорее всего следует отдать его на откуп автоматике, авось выстрелит. С другой - "Баги есть везде!" и они на поверхности, нужно лишь быть во всеоружии, чтобы поймать их.
У вас есть какая-то личная статистика по http put багам? Это я такой невезучий, или это и впрямь раритетная бага?
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
3 недели, посоны.
Осталось 3 недели, чтобы успеть прислать доклад на phd.
Вдруг чота захотелось туда.
Там Москва. Столица нашей Родины. Купола и тихие улочки в Печатниках.
Там мой лучший друг живет, с которым знакомы 20+ лет.
Хочется тряхнуть стариной, выйти на доклад с Аской Сорью Ленгли(лучшей девочкой) на груди, чтобы потом, сказать самому себе - я сделал это!
И чтобы зумеры трясли покрашенными гривами, а тяночки хотели от тебя детей.
Чтобы когда бреешься по утрам - было не стыдно смотерть в отражение.
Типа я на phd выступил - там хоть трава не расти! Я смог!
И уехать домой к себе в тихий и спокойный Мухосранск.
И вяло теребить вялую лицензию на burp suite на старости лет, рассказыавая внукам, как ломал гугл.
Сейм?
#bb
Осталось 3 недели, чтобы успеть прислать доклад на phd.
Вдруг чота захотелось туда.
Там Москва. Столица нашей Родины. Купола и тихие улочки в Печатниках.
Там мой лучший друг живет, с которым знакомы 20+ лет.
Хочется тряхнуть стариной, выйти на доклад с Аской Сорью Ленгли(лучшей девочкой) на груди, чтобы потом, сказать самому себе - я сделал это!
И чтобы зумеры трясли покрашенными гривами, а тяночки хотели от тебя детей.
Чтобы когда бреешься по утрам - было не стыдно смотерть в отражение.
Типа я на phd выступил - там хоть трава не расти! Я смог!
И уехать домой к себе в тихий и спокойный Мухосранск.
И вяло теребить вялую лицензию на burp suite на старости лет, рассказыавая внукам, как ломал гугл.
Сейм?
#bb
Посоны, по итогам активности за прошлый год на g/vrp святой западный барин прислал бусы и допомогу высокотехнологичные игрушки, лол.
Спасибо, барин!
С другой стороны, в который раз убеждаюсь, что g/vrp одна из немногих забугорных площадок, которым не стыдно занести баги. Потому что они любят баги так же, как и вы, и им все равно, откуда вы.
Правда, с посылкой вышла заминка. Мне отписали, сказав, что вот прямо сейчас не можем вам отправить(тактично умолчав о причинах), типа отложим для вас до лучших времен, пусть полежит на складе. Подозреваю, из-за наличия электроники в отправлении, вроде запретили такое отсылать. Я предложил вариант - переслать через 3 лицо. Они пошли на встречу и согласились(!). В итоге swag добрался домой через знакомого из Армении.
Такие дела :3
#bb
Спасибо, барин!
С другой стороны, в который раз убеждаюсь, что g/vrp одна из немногих забугорных площадок, которым не стыдно занести баги. Потому что они любят баги так же, как и вы, и им все равно, откуда вы.
Правда, с посылкой вышла заминка. Мне отписали, сказав, что вот прямо сейчас не можем вам отправить(тактично умолчав о причинах), типа отложим для вас до лучших времен, пусть полежит на складе. Подозреваю, из-за наличия электроники в отправлении, вроде запретили такое отсылать. Я предложил вариант - переслать через 3 лицо. Они пошли на встречу и согласились(!). В итоге swag добрался домой через знакомого из Армении.
Такие дела :3
#bb
Media is too big
VIEW IN TELEGRAM
Дарова, посоны.
У меня тут какая-то чушь нарисовалась, может кто-то подскажет, куда посмотреть/покопать.
Суть такова.
Есть потенциально уязвимый параметр в GET запросе. Стек технологий неизвестен.
GET /lol/?lol=(select*from(select(sleep(12)))a) -> ответ 12 секунд
Радостно потираю ручки, иду тестировать дальше, и понимаю, что точно не MySQL/MSSSQL. Обмякаю.
Думаю, что может, какая слепая инъекция кода
GET /lol/?lol=sleep(12) -> ответ уже 36 секунд, x3 то есть. Да и на code injection непохоже, судя по дальнейшим тестам. Обмякаю.
Что думаете? Что бы вы сделали в таком случае?
#bb
У меня тут какая-то чушь нарисовалась, может кто-то подскажет, куда посмотреть/покопать.
Суть такова.
Есть потенциально уязвимый параметр в GET запросе. Стек технологий неизвестен.
GET /lol/?lol=(select*from(select(sleep(12)))a) -> ответ 12 секунд
Радостно потираю ручки, иду тестировать дальше, и понимаю, что точно не MySQL/MSSSQL. Обмякаю.
Думаю, что может, какая слепая инъекция кода
GET /lol/?lol=sleep(12) -> ответ уже 36 секунд, x3 то есть. Да и на code injection непохоже, судя по дальнейшим тестам. Обмякаю.
Что думаете? Что бы вы сделали в таком случае?
#bb
В общем, сначала написали, мол ололо селф, иди нахуй. Я обычно не спорю с аналитиками(тупа лень строчить письма), но тут жопка подгорела(когда еще найдешь XSSску на главной яндекса), и я, пройдя все знакомые хантеру стадии типа гнев/отрицание/депрессия, включил свое природное обаяние и забабахал сценарий атаки, который приняли.
Посмотрим, короче.
Держу в курсе.
#bb
Посмотрим, короче.
Держу в курсе.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Дарова, посоны. Вести с полей.
Прямо сейчас проходит закрытый ивент на https://bugbounty.standoff365.com
Суть такова. Тридцать базированныхсамураев багхантеров, отобранных под этот ивент, соревнуются в течение короткого промежутка времени(27 апреля - 13 мая) по строго определенному скоупу.
Собственно, представители бизнеса и скоуп:
1. Вкашечка и ее продукт https://bugbounty.standoff365.com/programs/hrtek_vk VK HR Tek — система безбумажного обмена кадровыми документами с работниками на едином удобном портале. В обычных условиях ее потестить полноценно не получится, в силу технических особенностей регистрации в этой самой системе.
2. Компания, которая еще не была до этого представлена на платформах багбаунти. На данный момент программы приватна, поэтому скоуп, по понятным причинам, озвучить не могу.
Чем все это дело примечательно. По сути, ситуация win-win для обеих сторон:
1. Для хакеров - багхантинг вышел на новый уровень, а именно "спортивный багхантинг" - ограничение по времени, эффект соревновательности, фан, бессонные ночи(ну а у кого как, наверное), и все в таком духе. Лучшие будут поощрены.
2. Для бизнеса - в короткие сроки получить огромный поток репортов от высокомотивированных хантеров.
3. Просто движуха, которая в общем полезна для популяризации отношений хантер-бизнес в России, роста интереса к этому вопросу. Возможно, подобные ивенты послужат толчком к развитию конкуренции между отечественными багбаунти-агрегаторами, от которой в конечном итоге выиграют все.
По завершению ивента в Москве пройдет закрытое мероприятие, на котором стороны обсудят произошедшее, будут подведены итоги, раскрыты самые интересные находки.
Надеюсь, подобные ивенты будут проходить на постоянной основе.
Спасибо организаторам, бизнесу, и пожелаем удачи хантерам!
#bb
Прямо сейчас проходит закрытый ивент на https://bugbounty.standoff365.com
Суть такова. Тридцать базированных
Собственно, представители бизнеса и скоуп:
1. Вкашечка и ее продукт https://bugbounty.standoff365.com/programs/hrtek_vk VK HR Tek — система безбумажного обмена кадровыми документами с работниками на едином удобном портале. В обычных условиях ее потестить полноценно не получится, в силу технических особенностей регистрации в этой самой системе.
2. Компания, которая еще не была до этого представлена на платформах багбаунти. На данный момент программы приватна, поэтому скоуп, по понятным причинам, озвучить не могу.
Чем все это дело примечательно. По сути, ситуация win-win для обеих сторон:
1. Для хакеров - багхантинг вышел на новый уровень, а именно "спортивный багхантинг" - ограничение по времени, эффект соревновательности, фан, бессонные ночи(ну а у кого как, наверное), и все в таком духе. Лучшие будут поощрены.
2. Для бизнеса - в короткие сроки получить огромный поток репортов от высокомотивированных хантеров.
3. Просто движуха, которая в общем полезна для популяризации отношений хантер-бизнес в России, роста интереса к этому вопросу. Возможно, подобные ивенты послужат толчком к развитию конкуренции между отечественными багбаунти-агрегаторами, от которой в конечном итоге выиграют все.
По завершению ивента в Москве пройдет закрытое мероприятие, на котором стороны обсудят произошедшее, будут подведены итоги, раскрыты самые интересные находки.
Надеюсь, подобные ивенты будут проходить на постоянной основе.
Спасибо организаторам, бизнесу, и пожелаем удачи хантерам!
#bb
Ну, и так сказать, чтобы поссать на пятак допоможных, переможных, горелодупных хохлов - мое любимое :3 Ну а шо поделать, выходные, все-таки. Приятного вечера :3
#wm #combatfootage
#wm #combatfootage